Priročnik za skladnost soglasja za piškotke po PDPA Šrilanke: Zakon št. 9 iz leta 2022 v veljavi za izdajatelje v letu 2026
Šrilanka je preživela več kot desetletje v zakonodajnem postopku, preden je bil njen zakon o varstvu osebnih podatkov končno sprejet kot Zakon št. 9 iz leta 2022, ki ga je certificiral predsednik parlamenta 19. March 2022. Zakon sprejema široko arhitekturo, ki je postala globalni standard od GDPR — omejitev namena, pravna podlaga, pravice posameznikov, na katere se nanašajo osebni podatki, odgovornost, nadzori nad čezmejnimi prenosi, obveščanje o kršitvah in neodvisen regulativni organ s pooblastili za nalaganje upravnih sankcij — vendar jih vgradi v režim, prilagojen poslovnim in ustavnim realnostim južne Azije. Zakon je začel veljati postopoma od 17. March 2023, pri čemer so se bistvene obveznosti sprožile 18 mesecev pozneje, določbe o izvrševanju pa so se postopoma uvajale skozi leto 2025 in v leto 2026. Za izdajatelje in vsak drug subjekt, ki obdeluje osebne podatke posameznikov na Šrilanki, je posledica neposredna: stanje soglasja za piškotke, ki je zadovoljevalo prejšnji mozaik sektorskih pravil, ni več zadostno, in stanje, ki zadovoljuje GDPR, bo zadovoljilo PDPA le, če je integracija konfigurirana za specifične točke, kjer se oba režima razlikujeta.
Kaj PDPA Šrilanke dejansko zahteva
PDPA se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki, ki se nahajajo na Šrilanki, ne glede na to, kje se nahaja upravljavec ali obdelovalec, ter za upravljavce in obdelovalce s sedežem na Šrilanki ne glede na to, kje se nahajajo posamezniki, na katere se nanašajo osebni podatki. Ekstrateritorialni doseg odraža člen 3 GDPR in pomeni, da je izdajatelj brez šrilankanskega uradu, a s šrilankanskimi bralci, namestitvami aplikacij ali plačujočimi strankami, v celoti v obsegu. Osebni podatki so široko opredeljeni kot vsaka informacija v zvezi z identificiranim ali določljivim živim posameznikom, pri čemer so posebne kategorije podatkov, vključno z biometričnimi, genetskimi, finančnimi, zdravstvenimi, rasnimi, etničnimi, verskimi prepričanji, političnimi mnenji in kazenskimi evidencami, obdelane v skladu z strožjimi pravili.
Zakon določa sedem temeljnih načel varstva podatkov, šest zakonitih podlag za obdelavo, standardni nabor pravic posameznikov, na katere se nanašajo osebni podatki — dostop, popravek, izbris, omejitev, ugovor in prenosljivost podatkov, kjer je tehnično izvedljivo — ter regulativni organ, Organ za varstvo podatkov Šrilanke, s pooblastilom za izdajanje direktiv, nalaganje upravnih glob do LKR 10 milijonov za kršitev in napotitev resnih zadev na kazenski pregon.
Kako PDPA specifično obravnava soglasje za piškotke
PDPA ne vsebuje ločene določbe v slogu ePrivacy o piškotkih, kot jo vsebuje direktiva EU o ePrivacy. Namesto tega vključuje obdelavo piškotkov v splošni okvir soglasja v slogu GDPR: vsaka obdelava osebnih podatkov, ki se opira na soglasje kot svojo zakonito podlago, mora biti pridobljena na podlagi jasnega potrditvenega dejanja, s katerim posameznik, na katerega se nanašajo osebni podatki, izrazi strinjanje, prostovoljno dano, specifično, ozaveščeno in nedvoumno. Organ za varstvo podatkov je nakazal, v skladu z globalnim trendom, da vnaprej označena polja, jezik nadaljevanja brskanja in združene pasice soglasij niso veljavne oblike soglasja po zakonu.
Praktični učinek je enako stanje, ki ga vzdržujejo izdajatelji, ki delujejo v EGP: piškotki in katere koli analogne tehnologije shranjevanja in dostopa, ki niso nujno potrebne za opravljanje storitve, ne smejo biti nastavljeni, preden jim je uporabnik aktivno privolil. Nujno potrebni piškotki — identifikatorji sej, vsebina košarice, varnostni žetoni, piškotki za uravnavanje obremenitve — so lahko nastavljeni brez soglasja, ker spadajo pod podlago legitimnih interesov, vezano na storitev, ki jo je uporabnik aktivno zahteval. Vse ostalo, vključno z analitiko, oglaševanjem, personalizacijo, testiranjem A/B, predvajanjem sej in kakršnimi koli oznakami tretjih oseb, zahteva predhodno soglasje.
Kako se PDPA razlikuje od GDPR
Tri razlike so pomembne za integracijski sloj. Prvič, katalog zakonitih podlag PDPA vključuje podlago javnega interesa in zakonske obveznosti, ki sta v skladu s členom 6 GDPR, vendar ne vključuje samostojne podlage legitimnih interesov v obliki, na katero se zanašajo evropski izdajatelji za obdelavo meritve oglasov. Enakovrednost PDPA je ožja in zahteva dokumentiran test uravnoteženja, ki se vloži skupaj z evidenco obdelave upravljavca in se da na razpolago Organu za varstvo podatkov na zahtevo. Drugič, pravila o čezmejnih prenosih PDPA zahtevajo, da Organ za varstvo podatkov določi ciljne jurisdikcije, prenosi v neoznačene jurisdikcije pa zahtevajo bodisi izrecno soglasje, pogodbene zaščitne ukrepe, odobrene s strani Organa za varstvo podatkov, ali eno od ozkih izjem. Tretjič, rok za obveščanje o kršitvah po PDPA je krajši za kršitve visokega tveganja in daljši za kršitve nizkega tveganja kot fiksno pravilo GDPR 72 ur — upravljavci morajo obvestiti brez nepotrebnega odlašanja in, kjer je izvedljivo, v okviru okna, ki ga je smernica Organa za varstvo podatkov poostrilala med postopnim začetkom veljavnosti.
Kako izgleda skladna pasica za piškotke po PDPA
Tehnične zahteve se ujemajo s tistim, kar vsak sodoben CMP že producira, toda označevanje in dnevnik soglasij morata odražati šrilankanske posebnosti. Pasica prvega sloja mora uporabniku predstaviti resnično izbiro — sprejmi, zavrni, upravljaj — kjer je možnost zavrnitve vsaj tako vidna kot možnost sprejemanja. Združeno soglasje je prepovedano, zato mora drugi sloj omogočiti opt-in po kategorijah, ki pokriva vsaj analitiko, oglaševanje in kakršno koli obdelavo, odvisno od čezmejnega prenosa. Kategorije morajo biti privzeto nastavljene na izklopljeno; pasica ne sme nalagati oznak, dokler jih uporabnik ni aktivno vklopil.
Obvestilo o zasebnosti, prikazano iz pasice, mora identificirati upravljavca, kategorije zbranih osebnih podatkov, zakonito podlago za vsak namen obdelave, obdobje hrambe podatkov, kategorije prejemnikov, vključno s kakršnimi koli podizvajalci, ki delujejo zunaj Šrilanke, pravice posameznika, na katerega se nanašajo osebni podatki, po PDPA, ter kontaktne podatke Organa za varstvo podatkov za pritožbe. Obvestilo, ki izpolnjuje standard člena 13 GDPR, se bo v bistvenem prekrivalo, toda vrstice za stik z Organom za varstvo podatkov in o jurisdikciji čezmejnega prenosa je treba dodati izrecno.
Integracijski vzorec, ki prestane pregled Organa za varstvo podatkov
Referenčna implementacija ima štiri gibljive dele. Prva je CMP, ki podpira opt-in po kategorijah, privzeto izklopljeno, in izpostavlja izbiro uporabnika prek strukturiranega niza soglasij, ki ga izdajatelj lahko vztraja v dnevniku soglasij. Druga je sloj za nalaganje oznak — tipično upravljavec oznak na strani strežnika ali izvorna skripta vrata CMP — ki strogo uveljavi stanje soglasja, preden dovoli nastavitev kakršnega koli nebistvenih piškotkov. Tretja je dnevnik soglasij, na strani strežnika, ki za vsak dogodek soglasja zabeleži uporabnikovo izbiro po kategorijah, časovni žig, različico pasice soglasij, naslov IP (skrajšan ali z razpršilno funkcijo, če se je upravljavec odločil, da to zadovoljuje njegovo analizo minimizacije podatkov) in kategorije, ki so bile odobrene v primerjavi z zavrnjeni. Četrta je pot umika, ki je vsaj tako enostavna kot prvotna podelitev — trajna povezava za ponovno odpiranje pasice v nogi strani je vzorec, ki ga je Organ za varstvo podatkov posredno odobril s sklicevanjem na mednarodno najboljšo prakso.
- Oznake analitike se smejo naložiti šele po podelitvi analitične kategorije; Google Analytics 4, Adobe Analytics, Matomo, Amplitude in Mixpanel vsi podpirajo konfiguracijo z vrati soglasja, ki prepreči kakršen koli zapis piškotkov, preden se vrata premaknejo.
- Oglaševalske oznake — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight, programatični header bidderji — morajo biti podobno blokirane z vrati in, kjer oglaševalski partner prenaša podatke zunaj Šrilanke, mora ciljana jurisdikcija partnerja biti navedena v obvestilu o zasebnosti.
- Orodja za predvajanje sej in toplotne karte — Hotjar, Microsoft Clarity, FullStory — morajo biti za ločenimi, strožjimi vrati, ker je Organ za varstvo podatkov, skladno z EDPB, označil upodabljanje vnosnih polj kot kategorijo, ki zahteva izrecno in zrnato soglasje.
- Razkritja čezmejnih prenosov morajo biti specifična za vsako prejemniško jurisdikcijo, ne splošna. Organ za varstvo podatkov je nakazal, da podatki se obdelujejo pri ponudnikih storitev po vsem svetu ni zadostno razkritje.
Stanje validacije in revizije za leto 2026
Zagovorljiva šrilankanska uvedba v letu 2026 mora prestati štiri preverbe. Prvič, čista seja brskalnika, ki se postreže z naslova IP Šrilanke, mora pred ukrepanem na pasico ustvariti nič nebistvenih piškotkov. Drugič, pot zavrni-vse mora imeti za posledico enako stanje kot seja brez ukrepanja — brez analitičnih oznak, brez oglaševalskih oznak, brez skript za predvajanje sej, le nujno potrebni nabor. Tretjič, tok sprejmi-vse mora ustvariti oznake, ki jim je uporabnik privolil, dnevnik soglasij pa mora vsebovati ustrezni zapis. Četrtič, tok umika mora takoj ustaviti nadaljnje sprožitve oznak, preteči piškotke, nastavljene med sejo s soglasjem, in sprožiti kakršne koli nadaljnje signale brisanja ali odjave, ki jih zahtevajo partnerski prejemniki.
Zahteva po revizijski sledi je tisto, kar je PDPA v letu 2026 najbolj razlikujoče. Organ za varstvo podatkov je izdal smernice, ki kažejo, da bi morali upravljavci biti sposobni na zahtevo predložiti specifičen zapis soglasja, ki je odobril kakršno koli določeno dejavnost obdelave. To pomeni, da mora biti dnevnik soglasij poizvedljiv po identifikatorju uporabnika ali identifikatorju seje, hranjen za obdobje, ki ga je upravljavec dokumentiral v svojem urniku hrambe, in izvozljiv v strukturirani obliki. Pravilno konfiguriran CMP z dnevnikom na strani strežnika, skupaj s slojem za nalaganje oznak, ki uveljavlja stanje soglasja, in obvestilom o zasebnosti, ki poimenuje vsak cilj čezmejnega prenosa, je tisto, kar preoblikuje PDPA Šrilanke iz regulativne neznanke v zagovorljivi del globalnega stanja soglasij izdajatelja.